深度:震网病毒的秘密(三)

2013-12-09 +10 285720人围观 ,发现 9 个不明物体 头条资讯

深度:震网病毒的秘密(一)

http://www.freebuf.com/articles/system/19059.html

深度:震网病毒的秘密(二)

http://www.freebuf.com/news/19199.html

        相传在2010年的夏天,当震网病毒破坏了Natanz工厂后,由于控制软件存在一个bug,在对该软件进行升级时,震网病毒便由此从核工厂向外界扩散开来。译者注:伊朗不可能天真到为了升级控制软件与而与外界进行联网升级的,因此它的升级应该是通过售后工程师去现场进行升级的。虽然那是个美妙的传说,但不可能是真的。震网病毒仅在局域网中的电脑间传播,或者是通过USB拷贝文件时传播。换句话说,震网病毒必须需要黑客来实现大量传播,通过调制解调器或者VPN进行远程访问的这段时间里,黑客可以将震网病毒扩散到整个世界。(译者注:来自赛门铁克的震网病毒分析文档中介绍过,其主要是通过USB漏洞和打印机驱动漏洞实现局域网内的传播的。因此,震网病毒在因特网上的传播是有人明确的散播的。

        Natanz工厂的设备供应商,同样要为其他客户进行工作。这些人员很可能将他们感染了震网病毒的笔记本电脑带到了其他客户那里,并将他们的电脑接入了这些次要客户的局域网中。例如,他们将震网病毒传播到了一个水泥厂,而这个水泥厂的其他供应商也将移动PC接入了这个已经被感染的局域网,这样这些移动PC就可以将病毒传播的更远,传播到另外一个水泥厂或者另一个国家。在这个传播链条上,受感染的设备供应商或者雇员可能通过远程访问他们的机器,从而使得病毒传遍了五大洲。震网病毒以它的方式迅猛的传遍了世界各地。(并不是因为数以亿记的控制系统连接到了因特网,而是其利用了在因特网上的可信网络隧道。)例如,远程维护通常会具备在线访问共享文件夹的权限,从而给了震网病毒一个通过安全数字通道进行传播的机会。我和我的同事早在2010年帮助那些感染了震网病毒的客户时就发现,这些客户所从事的领域与核领域完全不相关。(译者注:也就是说,震网病毒可能在很多的工业控制系统中存在,只是人家对于非核领域的工业控制系统不感兴趣罢了,否则想搞你,很容易。

        鉴于震网病毒将被感染系统的网络协议地址和主机名发送给了它的CC服务器(Command and Control Server),可以看出攻击者很显然希望将病毒扩散到民用系统,并很渴望精准的控制其传播。通过精准的控制,最终实现将病毒扩散到为Natanz工作的设备供应商,以及这些供应商的客户,甚至伊朗的秘密核工厂。

         震网病毒为未来的攻击者提供了一个有用的蓝本,给出了一条入侵坚固系统的康庄大道。攻击者并没有尝试渗透15层防火墙、3个数据单向保护设备和入侵检测系统;而是直接通过感染了具备访问现场权限的软目标即设备供应商。虽然设备供应商也很重视他们的网络安全,但是他们必然无法与Natanz工厂的保护措施相比。感染设备供应商的移动设备和U盘被证明足够好,因为他们早晚会带着这些设备进入工业现场,并接入到Natanz工厂的核心系统中,很轻松的通过安全检查。(译者注:感染病毒的笔记本和USB,通过杀毒软件在当时根本就查不出来,所以,当时只要接入伊朗的系统中,就必然中招

        任何后来的攻击者当他们想攻击坚固系统时,都会考虑这种攻击方法。在全球范围内清醒的现实是,几乎每一个工业或者军事设施所使用的工业控制系统在一定程度上依赖其供应商网络,而这些供应商,精于其业务,而疏于网络安全。虽然工业控制系统信息安全专家已经讨论了很多年的内部安全风险,这些圈内人的讨论无意间帮助了黑客部署了网络攻击武器震网病毒。

        虽然震网病毒是一个国家工程,因为需要大量的资源和相当高的智慧,但是未来面向工业控制系统或者“信息物理系统”(Cyber-physical System的攻击可能不再是国家工程。由于攻击者自我强加的约束条件,即破坏设备的同时还要让对方认为这仅仅是设备可靠性问题,开发震网病毒付出了很大的代价。我个人估算,超过50%的工作是用来开发震网病毒的隐藏攻击行为上,投入了大量的资金在“复杂功能”上,使得“复杂功能”一方面在进行增加压力攻击的同时还要伪装成一切工作正常的样子。这一投入还包括建立IR-1型离心机样机的全功能级联保护系统,该系统使用了真正的六氟化铀。(译者注:下的本儿够大的,建一套高仿的IR-1型全套系统成本肯定不小。)从震网病毒上获取灵感的攻击者并不需要将如此大的精力花费在行为伪装上,他们可能希望受害者知道自己正遭受网络攻击,并以此来炫耀自己。

        与震网病毒的攻击者不同,这些人(译者注:指从震网病毒上获取灵感的攻击者)可能将目标定位到民用关键基础设施上。这些系统不但更容易被访问,而且还是标准化的。运行在发电厂或者化工厂的某个系统,可能与下一家工厂的系统配置的十分的相似。(译者注:确实如此,甚至几大工控厂商的产品,都有一定的相似度。)事实上,所有新式的工厂,都采用了标准工业控制系统架构,采用的设备都是来自这个行业里的少数几个供应商,采取的工控系统配置都相似甚至完全一样。(译者注:工控系统全套设备的供应商,全球就那么几家,细分行业后更少。)换句话说,如果你控制了一套工业控制系统,你可以渗透几十个甚至上百个相同系列的工业控制系统。

         纵观这两个版本的震网病毒,有一条最终线索(在这场表象的攻击过程中,幕后隐藏着更为重大的事情)。在这场攻击的奥运会(Operation Olympic Games,多年的针对伊朗核计划的在线间谍活动和蓄谋破坏行动)中,显然包含了比开发和部署病毒程序(虽然病毒程序很精妙)更多的内幕。这不仅仅是一场攻击,而是一场战役,而且这场战役的重点在执行过程中发生了显著的改变。

        当我的同事和我在2010年第一次分析这两个版本的攻击,我们最初认为这两个版本的攻击是同时进行的,也许其目的是想增加转子转速的同时使级联保护系统失效。这被证明是错误的,从过代码可以发现,这两个版本的攻击并未协作。然后我们认为用来攻击离心机驱动系统的病毒(译者注:“简单版本”)是是简单的并且是先于“复杂版本”出现的。(“复杂版本”用来攻击级联保护系统。)  针对级联保护系统的攻击表现出了十足的网络能力(“CyberPower”),表面上看该攻击是基于“简单版本”的基础上开发出来的。几年后,发现我们想反了,原来“复杂版本”竟然先于“简单版本”出现。那么为什么攻击者会转向“简单版本”呢?

         这两个版本的巨大差异,表明改变攻击重点很可能是因为利益相关者发生了变化。通过技术分析表明,当攻击者尝试以新的方式搞乱Natanz的业务时,攻击者关心的首要问题已经不再是攻击被人发现的问题了。关注重点的转移可能助长了一个简单的见解:核扩散来了又走了,但是网络战却留下来了。这场攻击的奥运会(Operation Olympic Games)开启了一场不可预知结果的实验。沿着这条路,一个结果变得清晰,即“数字武器”出现了。与“模拟武器”不同,它们并未通过军队来产生伤害,他们产生的附加伤害很少,它们可以被偷偷的部署,并且非常的便宜。这个打开的潘多拉盒子所产生的影响已经远远超过伊朗本身,它使得20世纪的暴力战争看起来技术含量很低而且很残酷。

        换句话说,鼓吹这场在线的破坏战役有附加的好处。随着震网病毒的披露,这场攻击的已结束,但是并未结束它的影响。五角大楼采用了不同于传统的硬件,它不能显示USB驱动器。震网病毒的启示向世界展示了在一个世界超级大国手中的网络武器可以做哪些事情。它当然使得美国免于尴尬,如果另外一个国家或者一个对手在数字领域率先展示出如此精妙的技术,那将是美国历史上另一个不折不扣的斯普特尼克时刻。(译者注:斯普特尼克时刻是人们认识到自己受到威胁和挑战,必须加倍努力,迎头赶上。它来自当时苏联发射的第一颗人造地球卫星“斯普特尼克”一号,此举击败了美国,率先进入太空。

        我们并不确定震网病毒是否是被故意披露的,由于有如此多的人参与,它的一个意想不到的副作用竟然最终成为了关键。有一件事我们必须知道:震网病毒改变了21世纪的全球军事战略。

发表评论

已有 9 条评论

取消
Loading...
css.php